L'autenticación ye l'actu o procesu de confirmar que daqué (o daquién) ye quien diz ser.
A la parte que s'identifica llámase-y probador. A la parte que verifica la identidá se la llapada verificador. Ye habitual que'l probador seya un usuariu que quier aportar a ciertos recursos y el verificador seya un sistema que protexe l'accesu a dichos recursos y tien que verificar que'l qu'apuerta seya un usuariu que tien permisos p'aportar a esos recursos. Pa poder tener autenticación ye necesaria, como condición previa, la esistencia d'identidaes biunívocamente identificaes de tala forma que déxese la so identificación.
Parte de | login (es) |
---|---|
Etiqueta de Stack Exchange | Stack Exchange |
Autenticación, autentificación (non encamentáu) o meyor dichu acreditación, en términos de seguridá de redes de datos, puede considerase unu de los trés pasos fundamentales (AAA). Cada unu d'ellos ye, de forma ordenada:
El problema de l'autorización de cutiu, ye idénticu a la de autenticación; munchos protocolos de seguridá estensamente adoptaos estándar, regulaciones obligatories, y hasta estatutos tán basaos nesta asunción. Sicasí, l'usu más exactu describe la autenticación como'l procesu de verificar la identidá d'una persona, mientres l'autorización ye'l procesu de verificación qu'una persona conocida tien l'autoridá pa realizar una cierta operación. La autenticación, poro, tien de preceder l'autorización. Pa estremar la autenticación de l'autorización de términu estrechamente rellacionada, esisten unes notaciones de taquigrafía que son: A1 pa la autenticación y A2 pa l'autorización que de xemes en cuando son usaes,tamién esisten los términos AuthN y AuthZ que son usaos en delles comunidaes.
Los métodos de autenticación tán en función de lo qu'utilicen pa la verificación y estos estrémense en tres categoríes:
Cualquier sistema d'identificación hai de tener unes determinaes carauterístiques pa ser vidable:
Pa autenticar ye necesariu establecer un protocolu de comunicación ente les partes de forma que la parte verificadora (de normal) prueba verificar que la parte que s'identifica (de normal un usuariu) efeutivamente ye quien diz que ye. Polo xeneral el procesu de autenticación consta de los siguientes pasos:
Un exemplu familiar ye'l control d'accesu. Un sistema informáticu supuestu pa ser utilizáu solamente por aquellos autorizaos, tien de procurar detectar y escluyir el desautorizáu. L'accesu a él polo tanto ye controláu xeneralmente aportunando nun procedimientu de la autentificación pa establecer con un ciertu grau establecíu d'enfotu la identidá del usuariu, polo tanto concediendo esos privilexos como pue ser autorizáu a esa identidá. Los exemplos comunes del control d'accesu qu'impliquen la autenticación inclúin:
Pa intentar probar la identidá d'un suxetu o oxetu posible aplicar una o más pruebes que, si tán pasaes, declaráronse primeramente pa ser abondos proceder. El problema ye determinase qué pruebes son abondes, y munchos tales son desaparentes. Tienen sío munchos casos de tales pruebes que son spoofed con ésitu; tienen pola so falta demostrada, ineludible, ser desaparentes. Muncha xente sigue mirando les pruebes -- y la decisión pa mirar ésitu en pasar -como aceptable, y pa culpar la so falta en “sloppiness” o “incompetencia” de parte daquién. El problema ye que la prueba foi supuesta pa trabayar na práutica -- non so condiciones ideales de nengún sloppiness o incompetencia-y non. Ye la prueba que falló en tales casos. Considerar la caxa bien común d'un email de la confirmación al cual tenga de ser contestáu p'activar una cuenta en llinia d'una cierta clase. Puesto que el email puede iguar fácilmente pa dir a o pa venir de direiciones falses y untraceable, ésti ye xustu sobre la menos autenticación robusta posible. L'ésitu en pasar esta prueba significa pocu, ensin considerancia dalguna escontra sloppiness o incompetencia.
Los factores de la autenticación pa los seres humanos clasifíquense, xeneralmente, en cuatro casos:
Autenticación por aciu dos factores "daqué que tengo" la llave + "daqué que sé" un númberu de PIN (token criptográficu)
Una combinación de métodos utilízase dacuando, exemplu, una tarxeta de bancu y un PIN, nesti casu utiliza'l términu “autenticación de dos factores”. Históricamente, les buelgues dixitales utilizáronse como'l métodu más autoritariu de autenticación, pero proceso llegales recién nos E.E.X.X. y a otra parte llevantaron duldes fundamentales sobre fiabilidá de la buelga dixital. Otros métodos biométricos son prometedores (les esploraciones retinianas y de la buelga dixital son un exemplu), pero demostraron ser fácilmente engañaos na práutica. Nun contestu de los datos del ordenador, desenvolviéronse protocolo de desafío-respuesta que dexen l'accesu si'l que se quier autenticar respuende correutamente a un desafíu propuestu pol verificador. Hai protocolo desafío-respuesta basaos n'algoritmos criptográficos llamándose protocolo criptográficos de desafío-respuesta. La seguridá de los protocolo criptográficos de desafío-respuesta basar na seguridá de los algoritmo criptográficos qu'usa.
El Authentication foi definíu por Arnnei Speiser en 2003 ente que la Web basó'l serviciu qu'apurre na autenticación d'usuarios finales que tienen accesu (Login) a un serviciu d'Internet. La Autenticación ye similar a la verificación de la tarxeta de creitu pa les Web site del eCommerce. La verificación ye fecha por un serviciu dedicáu que reciba la entrada y vuelva la indicación del ésitu o de fallu. Por casu, un usuariu final desea entrar na so Web site. Él consigue entrar nuna páxina Web de la conexón que rique p'accesu, el so user-id y una contraseña o a los sitios aseguraos y la so contraseña al empar. La información tresmitir al serviciu del eAuthentication como pregunta. Si'l serviciu vuelve ésitu, dexen al usuariu final entrar nel serviciu d'esa páxina Web colos sos privilexos como usuariu.
Nun sistema Unix habitual cada usuariu tien un nome d'entrada al sistema o login y una clave o password; dambos datos almacénense xeneralmente nel ficheru /etc/passwd. Esti archivu contién una llinia por usuariu onde s'indica la información necesaria por que los usuarios puedan coneutar al sistema y trabayar nél, dixebrando los distintos campos por aciu ':'.
Al contrariu de lo que muncha xente cree, Unix nun ye capaz d'estremar a los sos usuarios pol so nome d'entrada al sistema. Pal sistema operativu lo que realmente estrema a una persona d'otra (o siquier a un usuariu d'otru) ye'l UID del usuariu en cuestión; el login ye daqué que s'utiliza principalmente pa comodidá de les persones (obviamente ye más fácil alcordase d'un nome d'entrada como toni que d'un UID como 2643, sobremanera si tiénense cuentes en delles máquines, caúna con un UID distintu).
Pa cifrar les claves d'accesu de los sos usuarios, el sistema operativu Unix emplega un criptosistema irreversible qu'utiliza la función estándar de C crypt, basada nel algoritmu DES. Pa una descripción refecha del funcionamientu de crypt. Esta función toma como clave los ocho primeros calteres de la contraseña escoyida pol usuariu (si'l llargor d'esta ye menor, completar con ceros) pa cifrar un bloque de testu en claru de 64 bits puestos a cero; pa evitar que dos passwords iguales resulten nun mesmu testu cifráu, realízase una permutación mientres el procesu de cifráu escoyida de forma automática y aleatoria pa cada usuariu, basada nun campu formáu por un númberu de 12 bits (colo que consiguimos 4096 permutaciones distintos) llamáu salt. El cifráu resultante vuelve cifrase utilizando la contraseña del usuariu de nuevu como clave, y permutando col mesmu salt, repitiéndose'l procesu 25 vegaes. El bloque cifráu final, de 64 bits, se concatena con dos bits cero, llogrando 66 bits que se faen representables en 11 calteres de 6 bits cada unu y que, xunto col salt, pasen a constituyir el campu password del ficheru de contraseñes, usualmente /etc/passwd. Asina, los dos primeros calteres d'esti campu van tar constituyíos pol salt y los 11 restantes pola contraseña cifrada.
Los ataques de testu cifráu escoyíu constitúin la principal amenaza al sistema de autenticación de Unix; a diferencia de lo que muncha xente cree, nun ye posible descifrar una contraseña, pero ye bien fácil cifrar una pallabra xunto a un determináu salt, y comparar el resultáu cola cadena almacenada nel ficheru de claves. D'esta forma, un atacante va lleer el ficheru /etc/passwd (esti ficheru hai de tener permisu de llectura pa tolos usuarios si queremos que'l sistema funcione correutamente), y por aciu un programa adivinador (o crackeador) va cifrar toles pallabres d'un ficheru denomináu diccionariu (un ficheru ASCII con un gran númberu de pallabres de cualquier idioma o campu de la sociedá: hestoria clásica, deporte, cantantes...), comparando el resultáu llograda nesti procesu cola clave cifrada del ficheru de contraseñes; si dambos coinciden, yá llogró una clave p'aportar al sistema de forma ensin autorizar.
Otru métodu acaldía más utilizáu pa protexer les contraseñes de los usuarios el denomináu Shadow Password o escurecimientu de contraseñes. La idea básica d'esti mecanismu ye torgar que los usuarios ensin privilexos puedan lleer el ficheru onde s'almacenen les claves cifraes.
En cuasi toles implementaciones de Shadow Password actuales suelse incluyir la implementación pa otru mecanismu de proteición de les claves denomináu avieyamientu de contraseñes (Password Aging). La idea básica d'esti mecanismu ye protexer los passwords de los usuarios dándo-yos un determináu periodu de vida: una contraseña solo va ser válida mientres un ciertu tiempu, pasáu'l cual expirará y l'usuariu tendrá de camudala.
Realmente, l'avieyamientu previén, más que problemes coles claves, problemes cola tresmisión d'estes pola rede: cuando conectamos por aciu mecanismos como telnet, ftp o rlogin a un sistema Unix, cualquier equipu ente'l nuesu y el servidor puede lleer los paquetes qu'unviamos pola rede, incluyendo aquellos que contienen el nuesu nome d'usuariu y la nuesa contraseña.
Daqué polo que se criticó l'esquema de autenticación d'usuarios de Unix ye'l llargor, pa propósitos d'alta seguridá, demasiao corta de les sos claves; lo que va años yera pocu más qu'un planteamientu teóricu, anguaño ye daqué facederu: ensin nin siquier entrar en temes de hardware dedicáu, de xuru demasiáu caru pa la mayoría d'atacantes, con un supercomputador ye posible romper claves de Unix en menos de dos díes.
Un métodu qu'aumenta la seguridá de nueses claves frente a ataques d'intrusos ye'l cifráu por aciu la función conocida como bigcrypt() o crypt16(), que dexa llargores pa les claves y los salts más llargues que crypt y sicasí, anque s'aumentar la seguridá de les claves, el problema que se presenta equí ye la incompatibilidá coles claves del restu de Unices que sigan utilizando crypt; este ye un problema común con otros aproximamientos que tamién se basen en modificar l'algoritmu de cifráu, cuando non n'utilizar unu nuevu.
PAM (Pluggable Authentication Module) nun ye un modelu de autenticación en sí, sinón que se trata d'un mecanismu qu'apurre una interfaz ente les aplicaciones d'usuariu y distintos métodos de autenticación, tratando d'esta forma de solucionar unu de los problemes clásicos de la autenticación d'usuarios: el fechu de qu'una vegada que se definió y enllantó ciertu mecanismu nuna redolada, ye difícil camudalo. Por aciu PAM podemos comunicar a la nuesa aplicaciones colos métodos de autenticación que deseyemos d'una forma tresparente, lo que dexa integrar les utilidaes d'un sistema Unix clásicu (login, ftp, telnet...) con esquemes distintos del habitual password: claves d'un solu usu, biométricos, tarxetes intelixentes...
La gran mayoría de les aplicaciones de linux usen estos métodos (PAM) para autenticarse frente al sistema, una y bones una aplicación preparada pa PAM (PAM-aware) puede camudar el mecanismu de autenticación qu'usa ensin necesidade de recompilar les fontes. Inclusive puede llegase a camudar el sistema de autenticación local ensin siquier tocar les aplicaciones esistentes.
PAM vien `de serie' en distintos sistemes Unix, tanto llibres como comerciales, y el nivel d'astracción qu'apurre dexa coses tan interesantes como kerberizar nuesa autenticación (siquier la parte servidora) ensin más que camudar la configuración de PAM, que s'atopa bien nel ficheru /etc/pam.conf o bien en distintos archivos dientro del direutoriu /etc/pam.d/
PAM trabaya con cuatro tipos separaos de xeres d'alministración: authentication, account, session, y password. L'asociación del esquema d'alministración preferíu col comportamientu de l'aplicación facer por aciu archivos de configuración. Les funciones d'alministración facer módulos que s'especifiquen nel archivu de configuración. Más palantre esplicárase de volao la sintaxis del archivu de configuración yá que se va fuera del algame d'esti artículu.
Cuando una aplicación preparada pa PAM empecipia, actívase la so comunicación cola API de PAM. Ente otres coses esto fuercia la llectura del archivu de configuración: /etc/pam.conf. Alternativamente puede ser que s'empecipie la llectura de los archivos de configuración so /etc/pam.d/ (cuando esiste un archivu de configuración correutu so esti direutoriu, ignórase l'archivu /etc/pam.conf)
L'archivu (/etc/pam.conf) ta formáu por una llista de regles (típicamente una per llinia). Cada regla ye un conxuntu de campos separaos per espacios (los trés primeros son case-sensitives):
service type control module-path module-arguments
La sintaxis de los archivos baxu /etc/pam.d/ ye igual sacantes nun esiste'l campu "service". Nesti casu "service" ye'l nome del archivu nel direutoriu /etc/pam.d/ (el nome del archivu tien de tar en minúscules) Usualmente service ye'l nome del serviciu o aplicación comúnmente usáu, exemplu d'esto son login, el so y ssh.
type especifica a que grupu d'alministración ta acomuñada la regla. Les entraes válides son:
El tercer campu control especifica que faer si falla'l control aplicáu. Esisten dos sintaxis pa esti campu, una senciella d'un campu y otra qu'especifica más d'un campu dientro de corchetes rectos [] Pa la básica, les opciones son:
El cuartu campu module-path especifica'l path al módulu PAM acomuñáu cola regla. Los módulos atópase en /lib/security.
El quintu campu module-arguments ye un conxuntu de cero o más argumentos pasaos al módulu mientres el so invocación. Los argumentos varien según el módulu.
La configuración de los archivos de configuración so /etc/pam.d/ resulta ser más flexible (evítase tener un archivu únicu enorme). So esti direutoriu puede atopase l'archivu de confiuración personal d'un serviciu particular como ser ssh. La única diferencia ente la sintaxis del archivu /etc/pam.conf ye que nun esiste'l campu service.
This article uses material from the Wikipedia Asturianu article Autenticación, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). El conteníu ta disponible baxo los términos de la CC BY-SA 4.0 si nun s'indica otra cosa. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki Asturianu (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.